Google twierdzi, że nie używa reCAPTCHA’y do personalizowania reklam ale coś tu się nie klei.
Na czym to polega?
Sześć lat temu Google zmodyfikował swoją usługę reCAPTCHA, zaprojektowaną do filtrowania botów i innych zautomatyzowanych przeglądarek internetowych – a dokładniej do odróżniania użytkownika-człowieka od użytkownika-maszyny. W 2014 roku dodano ramkę iframe (HTML Inline Frame), która jest sposobem osadzania jednej strony internetowej w drugiej.
reCAPTCHA umożliwia Google’owi rozróżnianie prawdziwych ludzi, poprzez nakazywanie im rozwiązywania zagadek (najczęściej obrazkowych). Google twierdzi w warunkach korzystania z usługi reCAPTCHA, że nie wykorzystuje danych reCAPTCHA do wyświetlania spersonalizowanych reklam.
Podejrzenia
Badacze prywatności twierdzą teraz, że firma musi wyspowiadać się ze stale powtarzających się zastrzeżeń co do warunków usługi reCAPTCHA. Zach Edwards, współzałożyciel firmy Victory Medium zajmującej się analityką internetową, odkrył, że kod JavaScript Google reCAPTCHA umożliwia Google’owi przeprowadzanie „synchronizacji trójkątów”, czyli możliwości skojarzenia ze sobą ciasteczek zapisanych podczas przeglądania dwóch różnych stron internetowych przez tego samego użytkownika. Chodzi o to, że jeśli dana osoba odwiedzi witrynę zawierającą skrypty śledzące powiązane z jedną z tych dwóch domen, właściciele obu domen otrzymają żądania sieciowe powiązane z odwiedzającym i mogą na przykład wyświetlić reklamę skierowaną do tej konkretnej osoby.
Synchronizacja trójkątów poszerza wszechświat reklamowy i umożliwia kierowanie reklam do kogoś z wykorzystaniem większej liczby domen. Domena gstatic.com reCAPTCHA wykonująca trójkątną synchronizację z google.com w zasadzie zapewnia, że można znaleźć czy śledzić użytkownika, jeśli chociaż jedna z tych domen jest osadzona w danej witrynie.
Sprawdź oferty pracy na TeamQuest
Google odpiera zarzuty
Według Google firma nie używa reCAPTCHA do synchronizacji trójkątów, a reCAPTCHA jedynie wczytuje statyczne zasoby z dwóch miejsc na gstatic.com, bez zapisywania czy odczytywania jakichkolwiek plików cookie. W ramach tego procesu nie mają być wykonywane żadne żądania „synchronizacji trójkąta”. Domena gstatic.com jest rzekomo w ogóle „bez plików cookie”, ponieważ została zaprojektowana tak, aby nie mogła zbierać danych z plików cookie.
Faktem jest jednak, że kod JavaScript reCAPTCHA hostowany w domenie Google gstatic.com zawiera wiele odniesień do plików cookie. Odwiedzenie strony internetowej z osadzonym widżetem reCAPTCHA powoduje ustawienie pliku cookie preferencji „NID” google.com, nawet jeśli zablokujesz pliki cookie innych firm.
Według Edwardsa, jeśli umieścisz reCAPTCHA w swojej witrynie, żądania gstatic.com przekierowują do nowego żądania na google.com, a następnie google.com ustawia swój plik cookie. Zwraca on również uwagę, że polityka prywatności Google określa domenę gstatic.com jako jedną z wielu domen używanych do ustawiania plików cookie dla produktów reklamowych amerykańskiego giganta.
Google utrzymuje, że gstatic.com nie odczytuje ani nie zapisuje plików cookie, ale wygląda na to, że domena zaprasza google.com do ich ustawienia.
Co mówią warunki korzystania z usługi?
Warunki korzystania z usługi Google reCAPTCHA stanowią, że ta usługa wysyła dane urządzenia i aplikacji do firmy. Tak określa przy tym sposób traktowania tych danych: Informacje zebrane w związku z korzystaniem przez Ciebie z usługi będą wykorzystywane do ulepszania reCAPTCHA i do ogólnych celów bezpieczeństwa. Nie będą wykorzystywane do spersonalizowanych reklam przez Google.
